IT-Sicherheit im Urlaub und auf Reisen

Überblick zum Thema IT-Sicherheit in der Urlaubszeit: Jährlich steht für viele der Urlaub an – und mit diesem auch wieder ein enormer Risikobereich: Heute möchte kaum jemand mehr in seinem Urlaub auf Mails, Internet und Handy verzichten. Viele wollen oder müssen auch zumindest teilweise erreichbar sein. Doch bieten sich hier auch grosse Risiken.

IT-Sicherheit im Urlaub – ein Thema für Verbraucher

Von gestohlenen Geräten – auf denen sich neben sensiblen privaten Informationen vielleicht auch noch geschäftliche Daten finden – bis hin zu Hack-Angriffen ist alles denkbar. Gerade letzteres ist im Urlaub ein vollkommen unterschätztes Problem: Viele nutzen blindlings frei zugängliche WLAN-Hotspots im Urlaub, um sich die Roaming-Gebühren zu sparen. Dabei wird aber nicht bedacht, dass man nicht weiss, wer da den Hotspot betreibt und dass der den gesamten Netzwerkverkehr problemlos „mithören“ kann.

Absolute Sicherheits-Basics im Urlaub

Man sollte zumindest auf ein paar Grundregeln achten: Geschäftsleute sollten im Urlaub bemüht sein, nur private Hardware mit privaten Daten zu nutzen, damit Angriffe und nicht aufs Unternehmen durchschlagen.

Des Weiteren sollten Sie endlich ihre Hardware komplett verschlüsseln, viele Betriebssysteme und mobilen Endgeräte bieten diese Option und sie muss nur aktiviert werden. Und wenn Sie schon keinen VPN-Tunnel einrichten können, achten Sie darauf, auf allen Endgeräten ausnahmslos eine verschlüsselte Verbindung zu ihren Mail-Accounts und Webseiten mit Login-Funktion herzustellen. Dies sollten Sie bereits vor Ihrem Urlaub testen, bei einer unverschlüsselten Verbindung übertragen Sie Ihre Login-Daten im Netzwerk im Klartext, mit jedem üblichen Sniffer-Tool, das nicht einmal technische Kenntnis benötigt, kann man hier diese Daten dann abfangen. Die meisten Provider unterstützen inzwsichen problemlos eine SSL-Verbindung zum Mailserver und vermeiden das Versenden des Passworts im Klartext, was etwa so aussehen kann (ich bevorzuge das CRAM-MD5-Verfahren):

Ansicht Einstellungen unter iOS
Ansicht Einstellungen unter iOS

Empfehlungen des BSI zur IT-Sicherheit im Urlaub

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet zu dem Thema inzwischen einige Hilfen, die zwar mitunter sehr einfach klingen und auf das Prinzip „Erst denken dann machen“ hinauslaufen, aber durchaus angebracht sind. Die leider sehr verteilten und nicht immer problemlos aufzufindenden Informationen des BSI versuche ich im Folgenden konzentriert zusammen zu fassen:

Vor der Reise

Bei der Buchung und Vorbereitung der Reise achten Sie insbesondere auf Folgendes:

  • Die Buchung der Reise wird über offizielle und zertifizierte Kanäle erledigt, überlegen Sie vorher, wo Sie Ihre Zahlungsdaten eingeben
  • Machen Sie Backups von allen Geräten
  • Nehmen Sie nur die wirklich notwendigen Geräte mit, bei denen ein Zugriff ohne Zugriffskontrolle nicht möglich ist und die vollständig verschlüsselt sind
  • Denken Sie an das digitale Zuhause: Schalten Sie den WLAN-Router im Zweifelsfall ab (oder klemmen gleich die ganze Telefonanlage ab um Angriffe zu erschweren) und deaktivieren Sie das „Smarthome“ so gut es möglich ist.
  • Vielleicht in sozialen Netzwerken nicht der Weltöffentlichkeit mitteilen dass Sie weg sind und wie lange – Sie wissen nicht wer alles mitliest
  • Halten Sie die Kostenfalle Handy im Blick: Ungewollte Datenverbindungen, Updates etc. – all das kann Kosten verursachen. Informieren Sie sich vorher bei Ihrem Provider ob Gefahren drohen, buchen Sie ggfs. Flatrates dazu.
Checkliste des BSI zur IT-Sicherheit Urlaubsvorbereitungen
Checkliste des BSI zur IT-Sicherheit Urlaubsvorbereitungen

IT-Sicherheit während der Reise

Das BSI stellt es sehr detailliert dar, ich möchte es hier verkürzen: Während der Reise ist für Sie vor allem die stattfindende Kommunikation ein Risiko. Über ein öffentlich zugängliches WLAN, dessen Anbieter Sie nicht kennen (oder gar über ein Internet-Cafe vor Ort) Online-Banking zu betreiben ist äusserst Risikoreich. Nicht einmal über eine Datenverbindung des Smartphones mit dem Provider, also ohne WLAN, gibt es Garantien, da hier relativ gut zu verwirklichende Angriffsszenarien existieren indem vor Ort eine lokale Funkzelle kopiert wird. Die Empfehlung des BSI auf bestimmte gefahrträchtige Kommunikation wie Online-Banking gänzlich zu verzichten ist aus meiner Sicht daher zu unterstreichen.

Checkliste des BSI zur IT-Sicherheit im Urlaub
Checkliste des BSI zur IT-Sicherheit im Urlaub

Jedenfalls bei sensibler Kommunikation achten Sie darauf, Links immer selber einzugeben (also nicht in irgendwelchen Nachrichten auf vermeintliche Links zu klicken) und dass die Seite mit einem „https“ beginnt. Geben Sie auf Webseiten die kein HTTPS anbieten auf keinen Fall Zahlungsdaten oder Login-Daten ein.

Hinweis: Bitte beachten Sie auch, dass Sie nicht arglos fremde Ladestationen verwenden, da diese für Hackangriffe verwendet werden können. Vertrauen Sie nur eigener Hardware, siehe auch hier von mir dazu.

Nach dem Urlaub

Wieder zu Hause wäre ein Rat, tatsächlich die Login-Daten für sensible Nutzungen wie Mails vollständig zu ändern um auf Nummer sicher zu gehen. Machen Sie wie vor dem Urlaub einen Update-Rundlauf und aktualisieren ihre Anwendungen. Seien Sie wachsam, bei seltsamen Meldungen sofort prüfen was dahinter stehen könnte.

Checkliste des BSI zur IT-Sicherheit nach dem Urlaub
Checkliste des BSI zur IT-Sicherheit nach dem Urlaub
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.